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通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
e 1、 华为 E-learning 课程 学 习 
s A8: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: ŽUPA, ARBA “ERKE” MERKS “emai” $| Learning €hvawer com A 
JAKAR 
。 2、 华为 培训 教材 下 载 
o AR: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: EGRÍÉZUHEZETSDIBIA, MEA “ERRIMAREN ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
o AR: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
0 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
。 4、 学习 工 具 eNSP 
o  eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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本 手册 用 于 指导 学 员 学 习 华 为 安全 产品 的 配置 和 部 车 技术 ， 学 员 可 以 通过 教材 
的 实验 说 明 ， 和 擎 握 本 手册 中 的 实验 内 容 。 











1.1 i& H şe EB 


适用 于 华为 系统 安全 高 级 工程 师 培 训 安全 课程 中 涉及 的 实验 内 容 。 
适用 安全 产品 系列 包括 : 

e USG2200/USG5100/USG5500 

@ NIP2000 

特殊 说 明 : USG2200/USG5100/USG5500 需要 V3R1 fols. 


1.2 USG2200 产品 描述 


USG2200 由 一 体 化 机 箱 、`\ 扩 展 接 口 卡 组 成 。 其 一 体 化 机 箱 尺 寸 为 442mm X 
414mm X 43.6mm LAAX IR X E), UZR E 19 英寸 标准 机 柜 中 。 下 面 介 绍 
USG2200 的 外 观 。 


部 件 分 布 
USG2200 系列 产品 包含 USG2210、USG2220、USG2230、USG2250， 都 支 
持 交 流 电 源 ， 其 中 USG2250 还 有 支持 直流 电源 的 机 型 。 
USG2210 分 为 普通 配置 和 交流 基本 配置 ， 普 通 配 置 为 整 机 无 扩展 接口 卡 ， 交 流 
基本 配置 为 整 机 标 配 2 个 5FSW 接口 卡 。 


USG2220/2230/2250 分 为 普通 配置 和 交流 基本 配置 , 普通 配置 为 整 机 无 扩展 接 
口 卡 ， 交 流 基 本 配置 为 整 机 标 配 2 个 1GE 接口 卡 。 











e USG2200 产品 前 面板 
USG2200 的 前 面板 如 下 图 所 示 。 
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Figure 1-1 USG2200 交流 /直流 机 型 前 面板 图 





1. 交流 /直流 电源 插 ” 2. 交流 /直流 电源 开 ”3. 系统 复位 键 

座 X 

4. Console 接口 5. 闪存 接口 6. USB2.0 接口 

7. GE Combo 接口 Y 


e | USG2200 产品 后 面板 
USG2200 后 面板 如 下 图 所 示 。 


Figure 1-2 USG2200 产品 后 面板 图 





1 2 5 8 
1. MICI/DMICI ffi 2. MICZ/DMIC2dü . 3. MIC3 füifé 
T8 8 
4. MICA 插 槽 5. FICS/DFICS5 #5 — 6. FIC6 $18 
T: FEE ERR 8. 接地 端子 
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Figure 1-3 USG2210 基本 配置 型 产品 后 面板 图 





1.3 USG5120 产品 描述 

产品 外 观 
USG5120 由 一 体 化 机 箱 、 扩 展 接口 卡 组 成 。 其 一 体 化 机 箱 尺 寸 为 442mm x 
414mmX 86.1mm ( 宽 X 深 Xx 高 )， 可 以 安装 在 19 Sor stein 

部 件 分 布 
USG5100 系列 产品 包含 USG5120、USG5150 以 及 USG5160。 均 由 一 体 化 机 
箱 、 扩 展 接口 卡 组 成 。 


USG5120 有 交流 和 直流 两 种 机 型 。 提 供 了 4 人 外 MIC 和 4 个 FIC JE. 7y 2U 
局 设备 。USG5120 电源 和 风 忆 固定 在 设备 中 ， 不 文 持 热 插 拔 。 


@ USG5120 产品 前 面板 
USG5120 的 前 面板 如 下 图 朋 示 。 


Figure.1-5 USG5120 交流 /直流 机 型 前 面板 图 








1234 5 6 7 8 9 10 11 
1. 指示 灯 2. 系统 复位 键 3. Console 接口 
4. 办 存 接 口 5. USB2.0 接口 6. 10/100/1000M 以 太 网 接 
口 0 
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7. 10/100/1000M 以 太 网 接 8.GE Combo 接口 2”9.GE Combo 接口 3 


H1 11. 交 流 / 直 流 电 源 插 ” 12. 交流/ 直流 电源 开关 
10. 卡 扣 插 妃 座 
13. 防 静电 手腕 带 插 筷 14. 防 侍 面板 


@ USG5120 产品 后 面板 
USG5120 后 面板 如 下 图 所 示 。 


Figure 1-6 USG5120 产品 后 面板 图 





10 5 B 
1. MICI/DMICI dá 2.MIC2/DMIC2 ffi . 3. MIC3 ipi 
8 F8 
4. MICA df 5. FICS/DFICS5 1&8 — 6. FICG/DFIC6 fü 
7. FIC7 dd t8 8. FIC8 Ji fS 9. 覃 位 标识 


10. 接地 端子 


1.4 USG5150/ USG5160 产品 描述 


产品 外 观 


USG5150/USG5160 由 一 体 化 机 箱 、 扩 展 接口 卡 组 成 。 其 一 体 化 机 箱 尺 寸 为 
442mm X 414mm X 130.5mm ( 宽 X 深 x 高 )， 可 以 安装 在 19 英寸 标准 机 柜 中 。 


部 件 分 布 
USG5150 电源 可 使 用 两 个 直流 模块 或 两 个 交流 模块 ， 形成 电源 的 负载 分 担 。 提 
供 了 4 个 MIC 槽 位 和 6 个 FIC 槽 位 ， 为 3U 高 设备 。USG5150 的 电源 和 风 局 
均 支持 热 插 氢 。 


USG5160 只 有 交流 机 型 ， 可 使 用 两 个 交流 模块 ， 形 成 电源 的 负载 分 担 。 提 供 了 
4 个 MIC 槽 位 和 6 个 FIC 槽 位 ， 为 3U 高 设备 。USG5160 I] FB. JRUR Us 35] c 


e USG5150/USG5160 产品 前 面板 
USG5150/USG5160 的 前 面板 如 下 图 所 示 。 
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Figure 1-7 USG5150/USG5160 交流 /直流 机 型 前 面板 图 (USG5160 无 直流 


机 型 ) 


— ios 


dip Bir 


234 5 6 8 


1. 防 尘 网 2. 指示 灯 

4. Console 接口 5. 闪存 接生 

7. GE Combo 接口 0 8. GE Combo 接口 1 

10. GE Combo 接口 3 11) MAHE 

13. 防 尘 挡 板 14. 交流 /直流 电源 模块 1 


@ USG5150/USG5160 产品 后 面板 
USG5150/USG5160 后 面板 如 下 图 所 示 。 


Figure 1-8 USG5150/USG5160 产品 后 面板 图 
9 10 1 





9 10 11 


3. 系统 复位 键 

6. USB2.0 接口 

9. GE Combo 接口 2 

12. ESD 人防 静 电 插 孔 

15. 交流 /直流 电源 模块 0 





11 5 7 

1. MICI/DMICI df 2. MIC2/DMIC? 插 
T8 TS 

4. MICA df 5. FIC5/DFICS 插 槽 


7. FIC7/DFIC7 插 槽 — 8. FICS/DFICS #7 


3. MIC3 füifé 


6. FIC6/DFIC6 1&8 
9. FIC9 di f 
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10. FICIO fif 1. 接地 端子 

插 覃 的 排列 顺序 及 接口 编号 方法 

e iE AW 
USG 主板 编号 为 0， 扩展 插 槽 的 槽 位 编号 采用 先 从 左 到 右 ， 再 从 下 到 上 ， 先 
MIC 模 位 后 FIC 模 位 的 编号 原则 。 

e 接口 编号 方法 

设备 接口 采用 的 编号 原则 如 下 : 
各 接口 按照 从 下 到 上 ， 从 左 到 右 的 顺序 依次 编号 。 物 理 接口 编号 为 
interface-type X/0/Y, interface-type 为 接口 类 型 (如 Ethernet 等 )，X 表示 
槽 位 号 ，0 为 板 卡号 ， 目 前 支持 的 接口 卡 没 有 子 卡 ， 所 以 此 位 均 为 0。Y 表示 
接口 序号 。 主 板 的 槽 位 号 为 0。 








产品 外 观 Ç 
NIP2000 系列 


介绍 NIP2000 系列 的 外 观 和 基本 参数 。NIP2000 系列 包括 NIP2100/2100D 和 
NIP2200/2200D. 


部 件 分 布 


€ NIP2100/2100D 前 面板 


Figure 1-9 NIP2100/2100D- 前 面板 





l. 防 静 电 腕 带 插 孔 2. 系统 复位 键 3. 指示 灯 区 域 
4. Micro-SD 卡 插 权 5. FIC2 jtf 6. FIC1 插 槽 


7. 光电 互 斥 接口 8.10/100/1000M. 自 适 应 以 太 网 电 接 口 9. 管理 口 
10. Console 接口 11. USB 2.0 接口 
@ NIP2100/2100D 后 面板 
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Figure 1-10 NIP2100/2100D 后 面板 





1. Bom T 2. 电源 指示 灯 3. 电源 开关 
4. 交流 电源 线 扎 线 孔 5. 电源 接口 ”6. KAHE 


@ NIP2200 前 面板 


Figure 1-11 NIP2200 前 面板 











1. 防 静 电 腕 带 插 乱 X vun 3. USB 2.0 接口 

4. 指示 灯 区 域 p » Console 接口 6. Micro-SD Rjg 
管理 DD x X. — 8.10/100/1000M 自 适应 9. 光电 互 斥 接口 

10. 候 面 板 人 “11. 假 面板 12. FICO d f 

13. FIC7 st > 14. 假 面板 15. FIC5 ië 

16: esito 下 17. 假 面 板 18. 假 面板 


后 面板 


< 
EN 


NS Figure 1-12 NIP2200 后 面板 





1. JER 2. 电源 开关 3. 交流 电源 线 扎 线 孔 
4. 电源 接口 ”5. 电源 风扇 网 6. 电源 指示 灯 
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7. 防 静 电 胶带 插 和 孔 8. UTE 


1.6 图 示 


m - 
人 

& 交换 机 
4i «e 
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NIP 基础 实验 


2.1 初始 化 配置 NIP 设备 
实验 目的 


e A License 
@ 升级 签名 库 和 DPI 知识 库 。 


组 网 设备 
三 台 主 机 、NIP2100/2100D/2200/2200D 网 络 智能 入 侵 检 测 系统 


实验 拓扑 图 


Figure 2-1 配置 NIP 实验 拓扑 图 





MGMT 
192.168.5.1/24 





192.168.3.0/24 Esth £s 
192.168.5.3/24 
192.168.2.0/24 


[ 配置 环境 参数 ] 
项 目 数据 
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项 目 
NIP 接口 : MGMT 


Fio gr PUE 
Step 1 配置 NIP 的 基本 参数 。 


以 下 步骤 介绍 的 是 通过 Web 界面 配置 NIP f 


数据 
IP 地 址 : 192. 168. 5. 1/24 


ERA PRJ: 192. 168. 5. 254 


DNS 服务 器 : 192. 168. 10. 1 
IP 地 址 : 192. 168. 5. 3/24 


BER Je. 192. 168. 5. 254 


DNS 服务 器 : 192. 168. 10. 1 


管理 接口 的 IP 地 址 / 掩 码 * 默认 网 关 





和 DNS 服务 器 ， 如 果 不 能 或 者 不 方便 登录 Web 界面 配置 ， 节 二 以 通过 Console 





口 登录 NIP 的 命令 行 来 配置 管理 接口 的 IP 地 址 / 掩 码 和 默认 网 天， 然后 再 登录 


Web 界面 配置 DNS 服务 器 。 


通过 Console 口 登录 NIP 的 命令 行 后 ， 移 执行 命令 ,mianage-ip 192.168.5.1 24 HE 
AEH O IP 地 址 / 掩 码 , 然后 再 执行 命令 -default-gateway 192.168.5.254 配置 





默认 网 天。 





D 将 一 台 计 算 机 (假设 名 称 为 PC HO. 的 网 口 与 NIP 的 管理 接口 直 连 或 者 
通过 二 层 交 换 机 相连 , 将 PC_1 的 IP\ 地 址 配置 为 与 NIP 管理 接口 的 IP 地 址 在 同 
一 网 段 〈 例 如 192.168.0.2/24)。\ 在 YPC_1 的 浏览 器 中 输入 http://192.168.0.1， 
后 输入 用 户 名 Cadmin? 和 密码 (Admin@123) 登录 NIP 的 Web 配置 界面 。 

录 后 建议 按照 提示 修改 官 理 员 密码 ， 如 末 暂 时 不 想 修改 请 单 击 “ 取 消 ”。 





2) 选择 “系统 》 配 置 > 接口 ”， 








在 接口 状态 图 中 单 击 接口 MGMT CRA 


图 中 标识 为 MGMMHA) 的 图 标 ， 按 照 数 据 规划 配置 管理 接口 的 相关 参数 (IP 地 
址 / 掩 码 、 默 认 网 关 、DNS 首选 地 址 ) ， 如 图 所 示 。 配 置 完 成 后 单 击 “应 用 ”。 


IF HEHE HERA 
EXLA SE 


DNIA HAIE 


DNS 香 选 地 址 
速率 
X T 48x. 











* | 24 |*«1-32» 


3) 在 控制 台 计 算 机 的 浏览 器 中 输入 http://192. 168. 5. 1, 登录 NIP 的 Web 


配置 界面 ， 单 击 界 面 右上 角 的 “保存 ”， 保 存 当前 配置 。 


Note: 修 改 完 管 理 接口 的 基本 参数 、 使 用 新 的 管理 接口 IP 地 址 登录 NIP 的 
Web 界面 后 ， 需 要 尽早 保存 当前 配置 ， 以 免 设 备 挤 电 重 局 后 管理 接口 的 
基本 参数 恢复 为 缺 省 值 。 
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Step 2 升级 签名 库 和 DPI 知识 库 。 
1) 激活 License. 
e 选择 “系统 > 维护 > License 管理 ” 
e 单 击 “ 上 传 ” 在 弹出 的 “上 传 文件 ”对 话 框 中 ， 单 击 “ 浏 览 ” 
择 NIP 对 应 的 License 文件 , 单 击 “ 上 传 ”。 boc uie 


功 ， 则 表示 License 文件 已 成 功 上 传 ， 列 表 中 将 添加 新 上 传 的 
License 文件 ， 此 时 状态 为 空 


e License 文件 对 应 的 , 激活 当前 License 文件 ,如 果 激 活 成 功 ， 
则 状态 显示 “当前 License 文件 ” 且 该 文件 对 应 的 变 为 。 选 择 
“监控 > 状态 ”后 ,“License 信息 ”中 的 “License 状态 ”应 显 
示 为 “已 激活 ”及 其 激活 时 间 。 
2) 配置 定时 升级 签名 库 和 DPI 知识 库 。 


由 于 NIP 可 以 接 入 Internet， 所 以 此 处 以 在 线 升级 为 例 介绍 ， 当 NIP 
不 能 接 入 Internet 时 ， 请 使 用 本 地 升级 。 


选择 “系统 > 维护 > 升级 中 心 ”。 
单 击 “ 修 改 ”， 依 次 配置 各 参数 。 
“升级 模式 ”选中 “通过 外 网 升级 ”。 
“安全 服务 中 心 域名 ”中 输入 需 配 置 的 安全 服务 中 心 的 域名 (本 举 
例 使 用 缺 省 值 即 可 )。 
选中 “定时 在 线 升级 ”启用 定时 在 线 升级 功能 ， 并 配置 每 日 或 每 
周 定时 在 线 升级 的 时 间 。 
@ 单 击 a: 
3) 选择 “威胁 防护 升级 失 , 单 计 “手动 在 线 升 级 ”， 立 即 升 级 签名 库 ， 选 
择 “ 应 用 控制 升级 ”， 单 击 * 搜 动 在 线 升级 ”， 立 即 升 级 DPI 知识 库 。 

结果 检查 


选择 “监控 > WS "License 信息 ”中 可 以 查看 到 签名 库 和 DPI 知识 库 的 版 本 


号 。 




















2.2 直路 部 屠 NIP 
实验 目的 
AMAA NIP 
组 网 设备 
三 台 主 机 、NIP1000\200\100 19128 4! SE A fs: TU] A 
实验 拓扑 图 


d 条 链 路 接 入 Internet， 内 网 所 有 计算 机 都 可 以 访问 Internet， 业 务 流 

E Web 浏览 、 丰 富 的 P2P/IM 等 用 户 上 网 业务 。 企 业 部 署 了 NIP 来 保护 客 
防御 针对 客户 端 漏 洞 的 威胁 ; 同时 防止 内 网 计算 机 对 网 络 的 滥 。 详 细 
需求 如 下 : 
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1) 防御 来 自 Internet 的 针对 客户 端的 威胁 。 

2) 每 个 部 门 的 P2P 流量 速率 都 不 超过 1Mbit/s。 
3) 对 IM 软件 (如 QQ、MSN 等 ) 的 使 用 限制 如 下 : 
e ŠK] A 的 客户 端 任何 时 间 都 不 能 使 用 。 

e 部 门 B 的 客户 端 在 工作 时 间 不 能 使 用 。 
e 部 门 C 的 客户 端 在 任何 时 间 都 能 使 用 。 


Figure 2-2 NIP 控制 台 实 验 拓扑 图 


luciüu38— — — — — — \ 






MGMT 
192.168.5N24 











abl ]A | 
182.168 :1:0/2 





控制 台 
192.168.5.3/24 


B 192.168.3.0/24 





“il JB 


192.168.2.0/24 

[配置 环境 参数 ] 
项 目 数据 
NIP] O: MGMT IP 地 址 : 192. 168. 5. 1/24 


BRA Je. 192.168. 5. 254 


DNS 服务 器 : 192. 168. 10. 1 
接口 对 : a01-b01 工作 模式 : IPS 
地 址 名 称 : department a 

子 网 /IP 范围 : 192. 168. 1. 0/24 


HF EJ Ez 名 称 : work time 
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项 目 数据 


时 间 : 每 周一 到 周 五 的 09:00 到 12:00 和 
13:00 到 17:00 


应 用 安全 朱 略 应 用 控制 策略 





名 称 : policy a. policy b 和 policy c 
应 用 协议 : P2P 和 IM 

应 用 方向 : a01->b01 

威胁 防护 策略 

名 称 : protect client 

策略 模板 : default inline "ips 


应 用 方向 : a01->b01 


控制 合 IP 地 址 ; 192. 168. 5, 3/24 
BI 92€: «192. 168. 5. 254 


DNSJRAS 28: 192.168. 10. 1 


配置 步 又 
Step 1 配置 NIP 的 基本 参数 。“ 略 ) 
Step 2 配置 公共 对 象 ， 包 括 地 址 和 时 间 段 。 
为 了 便于 管理 ， 将 各 部 门 的 IP 地 址 段 定 义 为 地 址 ， 访 问 的 时 间 定 义 为 时 间 段 。 
1) Heg Rd. 





a) ”选择 “公共 对 象 》 地 址 > 地 址 ”。 
b) 单 击 “新 建 >， 输 入 “和 名称” 和 “ 子 网 /TP 范围 >， 如 所 图 1 示 。 
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图 1 新 建 地 址 “department a” 


department a 


FEF EEI 182.158.1.0/24 


ME HAE 





c) Suh NAH", 完成 地 址 的 创建 。 
d) ”按照 同样 的 方法 创建 地 址 “department b" M *department c". 


2) 配置 时 间 段 。 X 


a) 选择 “公共 对 象 BEER > 时 间 段 ”。 
b) JE: "GER", 配置 各 参数 ， 如 图 5 所 示 。 


图 2 新 建 时 间 段 “work time" 
AHN würk tire 

类 型 FORSE 
开始 时 间 UN 
结束 时 间 

每 周 生 效 时 间 





c) "dr "MH". 
d) 单 击 时 间 段 “work_time” 对 应 的 看 ， 增 加 成 员 ， 如 图 3 所 示 。 


图 3 时 间 段 “work_time” 中 增加 成 员 
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名 称 

类 型 周期 时 间 段 
开始 时 间 13:00 

阁 束 时 间 17:00 

每 周 生 交 时间 n[ 3k 


局 全 选 
星期 六 
星期 日 





e) Emh SMH”, ERN EER KEE. 


新 创建 的 时 间 段 “work_time” 显 示 在 站 时 间 段 列表 ”中 ， 如 图 4 所 示 。 


图 4 时 间 段 配置 结果 
时 间 段 列表 
Pae M ag || 请 输入 时 间 段 名 称 
开始 时 间 每 周 生 效 时 间 


3 work time 

09:00 12:00 工作 日 

13:00 17:00 TEE 
第 1 





Step 3 M AMH JE H RK 


1) 
2) 


选择 “应 用 安全 > 应 用 控制 > 策略 ”。 

为 部 门 A 制定 应 用 控制 策略 “policy a" , P2P 流量 不 能 超过 1Mbit/s， 任 
何 时 间 都 不 能 使 用 IM 软件 。 

a) ” 单 击 “新 建 ”， 输 入 策略 的 名 称 ， 如 5 所 示 。 


图 5 新 建 应 用 控制 策略 “policy_a” 





b) 单 击 “ 应 用 ”， 打 开 应 用 协议 选择 界面 。 
c) ， 单 击 “P2P” “控制 方式 ”中 选择 “ 限 流 及 连接 数 限制 ”后 ， 在 “ 限 流速 
率 ” 中 输入 “1000”， 如 6 所 示 。 
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图 6 配置 P2P 协议 的 控制 菏 略 


Hs zn din P2P 


控制 方式 限 流 战 连 控 数 限制 v 


PE LIRE 1000 x8-4000000-Kbit/s 
连接 数 限 市 | 
Mtie Er 





d) Pu “ME” 
e) “ 单 击 “IM”， 使 用 缺 省 配置 即 可 ， 如 图 7 所 示 。 


图 7 配置 IM 协议 的 控制 策略 





Hs zn n 
控制 方 却 
Big] Er 





f) 单 击 “确定 
g) fi “MHA ` 完 成 “policy_a” 的 创建 。 


3) ”对 部 门 B 制定 应 用 控制 策略 “policy b" : 工作 时 间 不 能 使 用 IM 软件 ， 同 
时 限制 P2P 的 流量 速率 不 能 超过 1Mbit/s。 

请 参考 “policy_ a” 的 创建 方式 ， 不 同 之 处 为 在 配置 IM 时 ,“ 时 间 段 ”选择 

"work time". 

4) 对 部 门 C 制定 应 用 控制 策略 “policy_ c" : 对 IM 软件 无 限制 , 同时 限制 P2P 
的 流量 速率 不 能 超过 IMbit/s. 

请 参考 “policy_a” 的 创建 方式 ， 不 同 之 处 为 在 配置 IM 时 ,“ 控 制 方式 ”选择 

i UP 

新 创建 的 应 用 控制 策略 “policy a". *policy b" ñ *policy c” 显 示 在 “应 用 

控制 策略 列表 ”中 ， 如 图 8 所 示 。 





图 8 应 用 控制 策略 配置 结 


威 财 防 护 策略 列表 
Pre Cm [Qm Em) mA 
名 称 T 


default 
protect client 


Threat prevention policy 


À policy that protects clients against threats 
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Step 4 配置 威胁 防护 策略 。 


1) 选择 “应 用 安全 > 威胁 防护 > 策略 ”。 

2) 选择 “配置 全 局 参数 ”页 健 ， 配 置 威 胁 防护 的 全 局 参数 ， 如 图 12 所 示 ， 单 
击 “ 应 用 ”。 图 12 中 配置 均 为 缺 省 配置 ， 如 来 没有 修改 过 ， 此 项 不 圾 要 配 
Be 





图 9 配置 威胁 防护 的 全 局 参数 
工作 模式 设置 


IPST TER C 直路 D 防护 模式 
IDS T TERR, C Si) BERI 
特权 策略 — NONE — 


* 


人 !CRRUORERtEGN. HURMA ARA eE 


SEARE EA T BH 
榨 测 方式 ts ep E 


dues BERGE RARAN” SSEGTEBEHTREREHEXL. 
PRAKA 
[pris 
IP 地 址 
Br LET [E] ' t *«1-1000-454 


H zuH3EEUR 


IIHF 
v ESD 
v 目的 IP 
v^ HB 


IEEE [el [e] Fs 10 *«1-120 


disse Estne, BUE ELE ARAR ER RE RE A 





3) 新 建 策略 “protect client" , 
a) 选择 “威胁 防护 策略 ”页 签 ， 在 “威胁 防护 策略 列表 ”中 单 击 “新 
建 ”。 
b) 输入 策略 的 “名 称 ” 和 “描述 ” 并 选择 策略 模板 
“default inline ips", 如 网 10 rpg. 


图 10 新 建 威胁 防护 策略 “protect client" 
protect client 


À policy that protects clients against 
threats 


IR] REESE ER D? default inline ips 
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c) 单 击 “ 应 用 ”。 
d) 单 击 “ 返 回 ”， 界 面 弹 出 是 人 否 立 即 提交 的 确认 框 ， 请 单 击 “ 是 ”， 等 
提交 成 功 后 单 击 “ 确 定 ”。 

















新 创建 的 威胁 防护 策略 “protect_client” 显 示 在 “威胁 防护 策略 列表 ”中 ， 如 
图 11 所 示 。 


图 11 Bub RK E AS 


KB EDI ER DE 
中 新 建 Quy 图 导 出 加 导入 


名 称 引用 描述 


default 7 Threat prevention policy 





protect_client E A policy that protects clients against threats 


Step 5 FEN Fd RREA 3 cS IZ H] $8] a01-5b01 E. 


D 选择 “应 用 安全 > 策略 应 用 > a01-b01". 
2) 单 击 “a01->b01” 对 应 的 目 ， 输 入 或 选择 “ 源 地 址 ”、. 沼 用 控制 策略 ”和 
"ELMO uA. Un 12 所 示 。 


图 12 将 应 用 安全 策略 应 用 到 a01->b01 


department a O 
MARA Pi ef A IPHI 
| 从 列 形 中 选择 服务 
| permit 


应 用 控制 策略 policy a 


RRRA IP TEE protect client 
EXE SOSETRRT 1. 开局 


* 一 -二 日 吕 = 2 "时 
记录 日 直 dà 
Tk 





3) 单 击 “ 应 用 ”。 
4) 单 击 “a01->b01” 对 应 的 让， 应 用 部 门 B 的 策略 。 


部 门 B 的 策略 与 A 类 似 ， 不 同 之 处 是 源 地 址 选 department b, MH FEH K 
略 选 policy b. 


5) 单 击 “a01->b01” 对 应 的 咖 ， 应 用 部 门 C 的 策略 。 


部 门 C 的 策略 与 A 类 似 ， 不 同 之 处 是 源 地 址 选 department c， 应 用 控制 策 
略 选 policy c. 
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配置 完成 后 ， 可 以 看 到 相关 部 门 已 经 和 对 应 策略 绑 定 ， 单 击 移动 策略 
的 位 置 ， 如 图 13 Bp. 
说 明 : 


“ID” 为 0 的 策略 是 NIP 缺 省 为 接口 对 添加 的 策略 。 配 置 人 策略 时 ， 设 备 将 根 
所 配置 的 完 后 顺序 从 上 往 下 排序 东 略 ， 先 配置 的 琐 上 略 优 先 匹 配 流量 。 可 以 单 


击 人 移动 策略 的 位 置 ， 调 整 策略 的 优先 级 。 


图 13 “a01->b01” 绑 定 应 用 控制 集 略 和 威胁 防护 集 略 


ID 动作 应 用 控制 策 ... 威胁 防护 策略 描述 


型 
mH 


J a01 > b01 (4 Items) 


J| P 


1 department a any ip policy a protect client — — 


K] 
k ri i 
T 


[€] 
q 
[x] 


department b any i policy_b protect client — — 


区 | 


department c any | policy c protect client — — 





4» 4» 4» 45 
e] 





0 any any i -- default 


K] 
Ie. 
sj 


3 b01 æ> a01 (1 Item) 





图 | F 


0 any any | permit 一 default 


K] 
I 
T 
4» 


Step 6 £F H EMRK - 
1) 查看 日 志 。 
选择 “监控 > HB”, EA HEAT X AIH EME Eo 


2) 得 看 流量 和 威胁 统计 情况 ， 





选择 “监控 X De o 全 看 流量 和 威胁 统计 情况 。 





结果 检查 
客户 端正 常 访问 Internet 的 业务 流量 没有 受 影响 。 
每 个 部 门 的 P2P 流量 速率 都 不 超过 1Mbit/s。 
各 部 门客 户 端 使 用 IM 软件 已 按照 需求 限制 。 
针对 客户 端的 攻击 流量 已 被 NIP 成 功 阻挡 。 











2.3 搭建 攻击 测试 环境 
实验 目的 
安装 SEAL 攻击 软件 。 
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组 网 设备 


一 台 Windos 32 位 主机 


实验 拓扑 图 
it 
配置 步 双 


Step 1 双击 Seal 安装 文件 ， 开 始 安 装 Seal。 


D SEALV1.0.5 Setup 


Sacumty 本 AAA Seon TU 


Step 2 安 


IL íi 
/ 
/ 


Welcome to the SEAL V1.0.5 Setup 
Wizard 


This wizard will guide you through the installation of SEAL 
V1.0.5. 


It is recommended that you dose all other applications 
before starting Setup. This will make it possible to ud 
relevant system files without having to reboot your. - 
computer. \( 


Click Next to continue. 








Check the components you want to install and uncheck the components you don't want to 


^ install. Click Mext to continue. 


Select components to install: 


SEAL Agent over a component Ea 


wcredist x86 2008 see is description. 


SEAL: dedicate to establish a professional platForm For test tools 





Step3 指定 安装 目录 ， 点 击 安装 Install 按钮 。 
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Choose the folder in which to install SEAL V 1.0.5. 


Setup will install SEAL V 1.0.5 in the following folder. To install in a different folder, dick 


Space required: 263, 2MB 
Space available: 8, 6GB 


EMN Completing the SEAL V1.0.5 Setup 


CWizard 


村 


SEAL V1.0.5 has been installed on your computer. 


Click Finish to close this wizard. 


Run SEAL V1.0.5 

















Step 5 局 动 Seal 程序 ， 首 次 局 动 。 在 开始 所 有 程序 中 找到 Seal FEFF Ho&,. E 
SEALAgent, 启动 Agent， 然 后 在 点 击 Seal， 局 动 Seal 程序 。 
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EA SEALAgent 


Uninstall 





Step 6 局 动 Seal 程序 后 ， 进 入 license 认证 页 面 。Seal 需要 安装 License 才 可 使 用 。 
有 俩 种 方法 可 以 激活 License: 


e 输入 华为 员工 W3 账号 和 密码 ， 并 点 击 OK。 此 时 保证 PC 连接 华为 公司 内 网 ， 
方 可 认证 成 功 。 


€ 导入 License 文件 ， 并 点 击 OK。 此 时 方式 需要 收集 本 PC HI ESN, 并 填写 4 ` 
指定 电子 流 中 (http://3ms.huawei.com/hi/group/6349)， 可 自动 获取 License X 
件 。 由 于 电子 流 在 研发 环境 ， 必 须 委托 研发 同事 代为 在 ufu mis : 


The tool provides two authentication modes. Please select one of them f 
authentication. SY 


Hetwork Authentication |License File Authentication 
Please enter the username and password of w3.huawei.com we . In 
addition, you need to enture that the tool normally communicatez with 
the support. huawei. com website for the conveni Sr web 
Account: ! "m C ^ 


Fazsword: 





Step 7 E coss 的 操作 后 ， 添 加 相应 的 组 件 。 
AN dicker 用 于 模拟 DDos 攻击 。 
V AppReplay 用 于 模拟 入 侵 攻 击 。 


Security Evaluation Assurance Library(SEAL) - Attacke 








DRAAGT ARTE Zago- NE 





Test Case 
Œ- Traditional Attacks 
Œ- Protocol Security 
H- Known Leak Verification 
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Step 8 配置 Attacker 页 面 ， 完 成 初始 化 配置 。 
D 点 击 设备 管理 ， 在 Devicelist 处 添加 Add Device 











DeviceList 





DeviceName: | 





DeviceIP: | 





Porti | 











2) 输入 主机 IP 地 址 为 127. 0.0. 1 (固定 本 机 环 回 地 址 》 闪 并 点 击 Bind. 


3) 选择 使 用 的 网 卡 ( 可 以 通过 IP 地 址 判断 具体 的 网 长 )》 ， 并 选择 Apply, 3f 
点 击 OK。 完 成 初始 化 配置 。 P 








[ "A : -— 
ud Devicelist 
Dewi ceList 


nES devicel 


Dewi celP: 127. 0. 0. 1 | | Bind 


porti 





MEE 


Ex 37 
本 圳 ] 节 接 [00: 4:E8:h9:E9:EF 10.7T.232. 104 


Step 9 配置 AppReplay 页 面 ， 完 成 初始 化 配置 。 
1) 点 击 AppReplay， 并 点 击 Connect. 


"a Un EER e 
H \ 5 + c£- 


rd Attacker AppReplay 








Dockbar License SEAL Open SaveAs AutoTest 
z Authentication Option Configure 





2) 选择 New Agent， 添 加 新 的 Agent, JA 127.0.0.1 IP 地 址 ， 然 后 点 击 
ok 按钮 ， 保 证 连接 到 具体 的 物理 网 卡 。 最 后 点 击 Apply, Connect 按钮 ， 
连接 到 具体 的 网 卡 。 
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Agent Manage 





| New Agent | | |Delete Agent Apply 


选择 Ok， 确 认 要 使 用 的 物理 网 卡 。 注 : AppReplay 由 于 要 模拟 IPS 实验 ， 需 要 一 
台 PC 具有 两 块 网 卡 ， 和 模拟 客户 站 和 服务 疾 。 


$ 


Select the adapter which you really want to 
open(For example,you want to receive 
packets or you want to send packets) will 
promotion the pps. 
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3.1 IPS 基础 配置 实验 


实验 目的 

对 IPS 进行 基础 配置 。 
组 网 设备 

内 网 服务 器 1 台 、USG2200 一 台 、 主 机 一 台 、 交 换 机 一 人 台 
实验 拓扑 图 x 


Figure 3-1 IPS 基础 配置 实验 拓扑 图 





MINI 


FOE LER 
Step 1 x1 USG5300 进行 初始 化 配置 


SUSG? system-view 

[USG] interface Ethernet 0/0/0 

[USG-Ethernet0/0/0] description  **Connect to Switch****, 
[USG-Ethernet0/0/0] ip address 192.168.1.1 24 
[USG-Ethernet0/0/0] quit 

[USG] interface Ethernet 0/0/1 

[USG-EthernetO0/0/1] description  **** connect to. Servers****, 
[USG-Ethernet0/0/1] ip address 10.10.1.1 24 

[USG-Ethernet0/0/1 | quit 


Step 2 获取 UTM License 许可 





E 


zm 服务 如 


UTM IPS 实验 
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系统 


面板 
o 状态 
ie 配置 
Q ERR 
史 维护 
o 系统 更 新 
o Re 
日 License 管理 
o 升级 中 心 


Z- 


2 ii 





面板 
o 状态 
ie? 配置 
Q EHA 
i 维护 
o 系统 更 新 
o 配置 管理 
o License 管理 
o 升级 中 心 


o ij LN 





LE A 维护 、 License 管理 > 


License 管 理 
License 激 活 方式 
License 中 心 域名 
License 授 权 编 码 


License 资 源 
虚拟 防火 墙 


管理 
License 管 理 


License AIt 
文件 


License 资 源 
虚拟 防火 墙 
SSL_VPN 
入侵 防御 
版 本 号 : 


WE 


©) 在线 自 动 激活 本 地 手动 激活 


lic.huawei.com 


已 授权 《100 个 虚拟 防火 墙 ; 
已 授权 100 个 并 发 用 户 ) 


o 本 地 手动 激活 
浏览 


在 绪 自 动 激活 


§ 


CN?" 
已 授 根 【100 个 虚拟 防火 墙 ) 


已 授权 《100 个 并 发 用 户 ? 
已 授权 对 期 时 间 : 2012/1053) 
20110915.011 


(WU 


[升级 配置] 


EUER CTOOT- Bet ph Hs 

已 授权 《1100 个 并 发 用 户 》 

已 授权 《过 期 时 间 : 2039/1103) 

20110915.011 

20110915.014 和 中 上 时间: 09:35:22 2012/09/12) 
CE COuHHBeHBI: 20121013) 

20111047.003 

201141017.003 : HRAJE]: 10:26:30 2012/0942) 
pe (ABARAT: 20120413) 

已 援 可 【过 期 时 间 : 201210713) 


Et Tin 
SSL VPM 
Tesi 
hum: 
AEk: 
meni 
hs: 
HAREE: 
HIRAF 
URLE AAEH] 


AHRR] 


ARA] 





Step 3 升级 UTM 特征 库 


ARH 


安全 服务 中 心 域名 


开局 


sec huawei.com 


gPatjHadzE3LT?7FPXxzOsaotwJKfr + 
VIS VoByra2i8DVdzL ÜHFXxwaAga.J E 
E8tv?7r5mPr/d6dol8Ub-hronznmw 
Ih58-vQpOoMSUMpW2AVT1HXx1KT 
EXMYIAjgsQ8NtzZK8uHsDx2iwDTj 7 





注 : 激活 人 码 会 目 动 生 成 ， 在 保证 License 文件 导入 的 前 提 先 ， 并 保证 设备 已 经 连接 到 Ineternet 
上 ， 点 击 激 活 ， 激 活 在 线 升 级 功能 。 
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版 本 号 20110915.011 
引擎 版 本 45.6.37 

引 获 去 小 5757574 bytes 
ARE: 20110915.011 

SE EE 471946 bytes 

升级 时 间 09:35:22 2012/09/12 
Tp PERGRRR IBI 21:26:02 2011/0945 


| 定时 在 线 升 级 手动 在 线 升级 


每 日 


应 用 控制 


AIT Re hA : 20.0.155 

DPI-Engin& 
引擎 版 本 : v1i00RM2C02SPC300 
加 载 时 间 : 2013H 14 09:54:51 
点 布 时 间 : 2042/09/07 06:32:48 


EZAR 


升级 启 保 存 新 的 知识 库 文 件 V 启用 
自动 着 级 周期 90 手动 在 线 升级 | 


| 二 地 升级 | 





Step 4 设置 防火 墙 工作 在 UTM 模式 


ne UTM ^ EAE > 基本 配置 > 


UTM v BH Em | 


Qoa eIUTMIBEEXEB SttlLicenseld. AiR. Kiss. URL 
源 和 过 专 邮 件 讨 滤 功能 才 可 以 使 用 。 
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Step 5 使 能 IPS 功能 


IP. SERRE E Eun 
BEES zd 


ASPIRE H E 启用 
工作 模式 防护 模式 
THU Sel —— NONE — 
单 击 “ 新 建 ” 来 
添加 一 个 策略 
A ie Eh EA EEs 
中 新 建 C3 刷新 


名称 Tx 
protect IPS palicy 


LEURS REEL M 
IP STER iei 


f pir A, fr Bh USER 
prf 


NRS policy 
| 


单 击 “ 新 建 ” 来 


zr ie CD 刷新 
名 称 B4 AVV 方向 严重 性 类 别 
protect all disable disable disable disable (tory 


http disable disable disable disable disable 





Step 6 配置 IPS 签名 集 
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大 于 等 于 OY. 
大 于 等 于 [Y] 








签名 集 列表 

路 新 建 M 刷新 

名 称 协议 方向 严重 性 可 信和 度 类 别 
protect all disable disable disable disable (or): 


http disable disable disable disable disable 





Step 7 配置 IPS 转发 策略 
procu PE 


E sis a px e AN 
十 新诗 M mee CB gd ust , I 一 | uninst [v] Q, sri | 加 高 级 查询 
ID 源 地 址 目的 地 让 用 户 动作 


I3 untrust-» 


66 32 


EA A, jam IPS 转发 第 1 


IJ trust-»unt 


deny 





结 来 检查 
访问 UTM 配置 界面 检查 IPS 配置 


3.2 IPS 阻 断 攻 击 实 验 
实验 目的 
实现 通过 配置 IPS 实时 阻 断 攻击 。 
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组 网 设备 
USG2200 一 台 、 主 机 两 台 、 交 换 机 一 台 


实验 折 扑 图 


Figure 3-2 IPS 阻 断 攻 击 实验 拓扑 图 





zm 


Fio gr PR k 
Step 1 XJ UTM 进行 初始 化 配置 
参见 3.1 
Step 2 配置 UTM IPS 功能 
参见 3.1 部 分 
Step 3 配置 服务 器 为 未 打 补 丁 状 态 
Step 4 使 用 客户 端 通过 Worm 漏洞 政 击 工具 对 服务 器 进行 攻击 


1) 启动 Sear 的 AppReplayw 组 件 。 
Link Mode 选择 Route Mode. Route Mode 需要 设置 网 关 。 
并 在 设置 两 个 网 卡 的 IP 地址 和 网 关 。 


| p Ww dl TE Security Evaluation Assurance Library(SEAL) - AppReplay 
D AppReplay 


Attacker 


Open SaveAs AutoTest || Connect Start Stop j y Disconnect || Upload Import Help FeedBack About 
— SEAL 


IP Version 
® IPv4 
Adapter#1 Link Mode 


Port#1Select [ijik 32 < [F] Route mode 

10.1.1. Log Setting 
Log Level: 
24 


Fragroute Setting 
[Z] Enable 
图 C->5S S->C Both 


sip frag "size old ^ 
sip frag %size new 
sip frag %size 
sip chaff dup 
sip chaff opt 
#ip_chaff ttl 
Select ~ #ip_opt lsrr 4 %ip-addr 
disais 本 地 连接 M sip opt ssrr 4 %ip-addr 
sip ttl 9cttl 
&ip tos %tos 
stcp seg %size old 
Xtcp seg %size new 
qq tcp seg %size 
11.1.1.1| stcp. opt wscale %size 


sttcp. chaff cksum 


-— 
二 
= 


Address Rang: 11.1.1.2 


Mask: 24 
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2) 选择 L2/L3replay 点 击 Add 按 钮 , 点击 File Browser; 添加 攻击 模拟 包 。 并 点 击 开 始 start 
按钮 。 


Open SaveAs AutoTest 
Configure 


Http Mail Ftp Imap Smb  Fuzzing TaskList Stat 








&L Windows7 OS | 
cs 本 地 磁盘 (D:) 
cs 本 地 磁盘 (E:) 
-一 本 地 磁盘 (F3 








SUER(N- Blaster yt : 
XV 


LL) 


Open SaveAs AutoTest 
Configure 





[e [ bos [ Rees | Weir [ Fort Rles | Tineowt | 


1 1 5 yes 20 








ZG ARAS EY 


FRH USG2200 的 IPS Hé, MIRA 3D DG CES ss EHLI Bih Be C e B o 
打开 USG2200 的 IPS DRE, MARE t ELIT J^ Im E DOSE ARIS i EHL e 
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UTM 防 病毒 实验 


4.1 应 用 服务 怖 防 病毒 攻击 实验 






实验 目的 

AR UTM 产品 防 病 毒 配置 。 
组 网 设备 

内 网 服务 器 1 台 、USG2210 一 台 、 主 机 两 台 

X 

实验 拓扑 图 

Figure 4-1 应 用 服务 器 防 病毒 实验 拓扑 图 

Trust | GO/0/1 . USG G0/0/0 Untrust 











aU | um. 


I — Internet User 


wm 30.0.0.1/24 = 
| 30.0.0.2/2 


sSMTPI 0 0 0 0 | 


企业 内 部 用 户 位 于 Trust 区 域 ， 应 用 服务 器 (SMTP 邮件 服务 器 ) 位 于 DMZ DX, 
Internet 上 的 用 户 位 于 Untrust 区 域 ， 企 业内 网 用 户 和 Internet. 上 的 用 户 使 用 SMTP 
服务 器 发 邮件 。 

在 USG2210 上 配置 AV 功能 ,， 扫 摘 企 业内 网 用 户 和 Internet 上 的 用 户 的 SMTP 邮件 
中 的 附件 ， 如 果 发 现 用 户 邮 件 的 附件 中 带 有 病毒 ， 则 删除 附件 内 容 并 在 邮件 正文 添加 
宣告 ， 避 免 SMTP 邮件 服务 器 受 病毒 攻击 。 


FOE DNE 
Step 1 配置 USG2210 的 接口 IP 地 址 ， 并 将 接口 加 入 安全 区 域 





I0 
] 001i 








D EEM “菜单 ”导航 树 中 选择 “网 络 ”。 
2) ”选择 “接口 ”页 签 ，。 

3) ”在 “接口 列表 ”区 域 框 中 单 击 接口 GE 0/0/0 对 应 的 国 . 
4) ”在 “修改 GigabitEthernet” 区 域 框 中 配置 参数 。 
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[n 网 络 》 接口 > 接口 > 


修改 GigabitEthernet 


接口 名 称 
别名 

VPN 实 例 
安全 区 域 


启用 访问 管理 © 


四 高 级 


5) Sidi "MH". 


6) ”在 “接口 列表 ”区 域 框 中 单 击 以 太 网 接口 Gf 070/1 x zig Es, 


GigabitEthernet0/0/0 


public 
untrust 
e. 路 由 


©) 静态 IP 


S IEGÀÉ IP 地 址 详细 醒 置 | 


30 





PPPoE 








mm. 2 5. 9 


Ping 


Telnet 











7) ”在 “修改 GigabitEthernet” 区 域 杠 中 配置 参数 。 


ue 接口 。 接口 
修改 GigabitEthernet 
接口 名 称 
别名 
VENEH 
rE «s 


NAT 功 能 


启用 访问 管理 © 


spe 


8) Hub "NH". 
Step 2 配置 AV 全 局 参数 


4 


&igabitEthernetü/0/1 


public 
trust 
* EH 


9 静态 IP |.) DHCP 


HTTPS 
SNMP 


说 明 : ”以 下 为 缺 省 配置 ， 可 省 上 略 。 


|J PPPoE 


IPHAN 


Ping 


Telnet 
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1) Æ RA” FMA PE UMRIE RIE” o 
2) ”在 “配置 全 局 参数 ”区 域 框 中 配置 AV 全 局 参数 。 


AV 功 能 
Tie 
fip EE EE «2-202 E 


安全 改天 计划 


9 参与 安全 改善 计划 后 ， 设 备 可 以 在 线 收集 您 所 在 的 网 络 的 安全 性 问题 ， 包 括 病毒 以 及 攻击 的 
信息 ， 这 些 信息 将 发 送 绽 Huawei 安 全 服务 中 心 ， 以 帮助 我 们 更 好 的 保护 您 的 网 络 。 


应 用 





Step 3 创建 AV 策略 并 配置 AV 策略 公共 部 分 


D ”在 “菜单 ”导航 树 中 选择 “UTM > 反 病 毒 > 策略” 
2) dE "AV 策略 列表 ”区 域 框 中 ， 单 击 TIE, 

3) “在 “新 建 策略 ”界面 配置 名 称 和 描述 。 X 
4) ” 单 击 “应 用 ”。 


abc 


Anti-Virus policy 





(说 明 :以 下 为 缺 省 配置 ， 可 省 略 。) 
5) ”在 “公共 配置 ”多 域 杠 中 配置 AV 策略 的 公共 部 分 。 


公共 配置 


dXX | vo EBP 


aiH | v| EBEE 





Step AEDE AV 策略 中 各 协议 对 应 的 部 分 


1 Æ “HTTP 协议 配置 ”区 域 框 中 去 选 “ 病 毒 扫描” 对 应 的 复 选 枉 ， 关 闭 HTTP H 
议 的 病毒 扫 摘 开关 。 

2) Æ “FIP 协议 配置 ”区 域 框 中 去 选 “ 病 毒 扫 朱 ”对 应 的 复 选 枉 ， 关 闭 FTP 协议 的 
病毒 扫描 开关 。 

3) ”在 “SMTP 协议 配置 ”区 域 框 中 配置 各 参数 。 
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SMTP H E 


me v 启用 
HH EPR 10 21-20-MB 
SCEEETIBUS x. LIE TIERE 指定 扩展 名 扫描 


响应 方式 星际 附件 v 


EEMSSM is deleted from the mail because it contains virus 


EE CX) 因为 包含 病毒 已 经 内 本 邮件 中 星际 





4) ”在 “POP3 协议 配置 ”区 域 框 中 去 选 “ 病 毒 扫 插 ” 对 应 的 复 选 框 ， XH] POP3 协议 


的 病毒 扫描 开关 。 
5) 单 击 6 应 用 2 Y 
Step 5 Æ Trust 和 Untrust 域 间 应 用 AV 策略 ， 保 护 SMTP 邮件 服务 器 不 受 来 自 Internet 上 
的 用 户 的 病毒 攻击 


D ”在 “菜单 ”导航 树 中 选择 “防火 墙 » WAGE» HEAT. 
2) “在 “转发 策略 列表 ”区 域 框 中 ， 单 击 THE, 
3) ”配置 转发 策略 的 参数 ， 将 AV R “abe” ME Untrust 和 Trust ERME]. 


源 安全 区 域 untrust 

目的 安全 区 域 trust 0 
源 地 址 请 选择 或 办 让 地 直 
目的 地 址 20,0:9.2/32 


- — — ~ 


| 请 选择 或 输入 用 户 或 用 户 组 


iF 


GUB | r || 第 
BE | E 


请 选择 服务 


i 


all 


permit 
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[| IPS 
Iv AV 
AVR 


[^ WebztgE 
三 邮件 过 滤 


[ FTP 过 滤 
万 应 用 控制 


记录 日 志 
FERAE 





Ri E 
当 启用 AV 功能 后 ， 用 户 邮件 的 附件 中 带 有 病毒 ， 则 删除 附件 内 容 并 在 邮件 正文 添加 


H. 0 o 





4.2 内 网 用 户 防 病毒 攻击 实验 
实验 目的 

熟悉 UTM 产品 的 内 部 由 户 访问 Internet 上 的 网 页 时 防 病毒 配置 。 
组 网 设备 

USG2200 一 合 、 主 机 两 侣 《其 中 一 人 台 模 拟 HTTP 服务 器 ) 


实验 拓扑 图 


Figure 4-2 内 网 用 户 防 病毒 攻击 实验 拓扑 图 











Trust G0/0/1 USG GO/0/0 Untrust 
. .. 20.0.0.1/24 30.0.0.1/24 
E 一 > 3 d Http Server 
20.0.0.2/24 MEL — —— EC ———1 30.0.0.2/2 





l | Webl 


I0 


第 39 页 


HUAWEI 构建 内 容 安全 网 络 工 程 师 培训 上 机 指导 





。 内 网 位 于 Trust 区 域 ，HTTP 服务 器 位 于 Untrust 区 域 。 


e 在 USG2200 上 配置 AV 功能 ， 当 内 网 用 户 访问 的 网 页 带 病 毒 时 ，USG2200 中 断 访 问 ， 
并 回 用 户 推 送 一 个 警告 页 面 提示 访问 的 网 页 中 含 病毒 。 


配置 步 又 
Step 1 配置 USG2200 的 接口 IP 地 址 ， 并 将 接口 加 入 安全 区 域 ， 配 置 略 ， 请 参见 4. 1. 4 
Step 2 配置 缺 省 路 由 。 配 置 略 ， 请 参见 4. 1.4 
Step 3 配置 AV 全 局 参数 
配置 略 ， 请 参见 4.1.4 
Step 4 创建 AV 策略 并 配置 AV REAA 


1) 在 “菜单 ”导航 树 中 选择 “UTM > 反 病 毒 > 策略 ”。 
)) dE "AV 策略 列表 ”区 域 框 中 ， 单 击 D. 


AV 策 略 列 表 
DA 
中 新 建 R 删除 CA mèr K 
引用 次 数 。 描述 HTTP 协 议 FTP 协 议 为 SMWTP 协 议 POP3 协 议 ”配置 
0 Anti-Virus policy OQ à NN" p ORQA OA 


Step 5 配置 AV 策略 中 各 协议 对 应 的 部 分 
D Æ “SMTP 协议 配置 ”区 域 框 中 取消 组 选 框 。 








ki UM RAH Re 2 
É r t 


E3 HTP 协 议 配 置 


国 swrTP 协 议 配 置 


is deleted from the mail because it contains virus ~ 


HUSEKUEE. DENEDE HHE 





2) 1E “HTTP 协议 配置 ”区 域 框 中 配置 各 参数 。 
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图 HTTP 协 议 配 置 


病毒 扫描 

HTTP ERRAT, 

sE 

传输 体验 

SERT ER | «1-20-MB 


交 忻 扫描 方式 OE 智能 扫 措 指定 扩展 名 扫描 
响应 方式 阻 断 [v] 


HEHE The Web page you requestis blocked 





3) 单 击 éé 应 用 
Step 6 在 Trust 和 Untrust 域 间 应 用 AV 策略 ， 你 护 内 网 主机 不 受 病毒 侵害 


D) Æ SRE” FBW PA PAKE > 安全 策略 > FERRE” S 

2) ”在 “转发 策略 列表 ”区 域 框 中 ， 单 击 TIE, 

3) ”配置 转发 策略 的 参数 ， 将 AV RIK “abe” MHIE Trust 和 Untrust 域 间 。 
4) 单 击 “应用 


ETEET E 


IE A k e KO 
^N 


源 安全 区 域 trust 
目的 安全 区 域 untrust 


* 


* 


Pihi 20.0.0.0/24 

目的 地 址 30.0.0.0/24 
TEE TE SUR FH Pa FH PR 
倩 选 择 服务 


I 


Ir 
E || [se 








VET 
pis 


all 


1 E S SES d 
d 
以 


* 


permit 


a 





Step 7 在 Web Jl ArmA E Http Rar HEISE MA 


ik: Http 服务 器 可 以 用 Hfs (Http file Server) RË, JEMA nT EB 
www. eicar. org 网 站 下 载 。 


D “在 服务 器 端 ， 安 装 Hfs 软件 ， 选 择 指 定 的 卫 地 址 和 端口 号 。 
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49: Http File Server 2.0 beta34 


e DFF | E Menu | Port zu | € Expert made 


Address http: //l30. 0.0.27 d Browse 
Top speed: 0.00 EB? 


Virtual File System 





2) “将 病毒 测试 文件 直接 拖 入 hfs 窗口 中 ， 完 成 hfs 加 载 病 毒 测 试 文件 -eicarexe。 并 点 
击 开 关 ， 将 Off 变 成 ON 状态 。 


d Http File Server 2.0 beta34 
X) OFF | E Menu | Port au | € Expert made 
Address http: ^^ 30.0. 0.27 
Top speed: 0.00 KEwvs 
Virtual File System 


| Eicar.exe 


——À 


[.] Filename à Status Speed Time left 





3) N Z P'3m PC 通过 http://30.0.0.2/eicarexe 测试 ， 提 示 是 发 现 病毒 。 


| Scan for Network Security 


Warning: HALABA CREAR. MARI BEATEN., FBIÉSSRS. 
Reason: The virus (EICAR Test String) is detected in the file(eicar. exe). 





ZG OE 


启用 AV 功能 后 ， 当 用 户 访问 的 网 页 带 病毒 时 ，USG2200 中 断 访问 ， 并 向 用 户 推 送 
一 个 警告 页 面 提示 访问 的 网 页 中 含 病毒 
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URL 过 滤 实 验 


5.1 配置 URL 过 滤 实 验 


实验 目的 

熟悉 UTM 产品 URL 过 滤 的 配置 | 
组 网 设 

内 网 服务 器 1 台 、USG2200 一 台 、 主 机 一 台 
实验 拓扑 图 x 


Figure 5-1 URL 过 滤 实 验 拓扑 图 








Trust GO/0/1 . USG (0/0/0 Untrust 
S. 30.0.0.1/24 
m Http Server 






SUMI 


20.0.0.0/24 全 j | ZAS 






30.0.0.2/2 





l | Web [| 
iiil 


公司 有 研 友 用 户 和 非 研 有 用户 两 类， 研 肥 用 户 对 应 的 IP. 地 址 范围 是 20.0.0.10/24 一 
20.0.0;100/24， 非 研发 用 户 对 应 的 IP 地 址 范围 是 20.0.0.101/24 一 20.0.0.200/24。 


具体 需求 如 下 : 
e 企业 所 有 员工 可 以 访问 www.information.com 网 站 。 
e 企业 所 有 员工 不 可 以 访问 www.bt.com 网 站 。 


e ”研发 用 户 在 每 天 的 8: 00 一 18: 00 不 可 以 访问 社会 焦点 类 网 站 和 www.abcd.com， 在 
12: 00—20: 00 不 可 以 访问 P2P 类 网 站 。 


e 非 研发 用 户 在 每 天 8: 00—18: 00 不 可 以 访问 体育 类 网 站 。 


RUE DNE 
Step 1 配置 URL 过 滤 基 本 参数 
1) Æ RKE” F PE “UTM > WEB 过 滤 > SW. 


2) 1E “web 过 滤 基 本 配置 ”区 域 框 中 配置 URL 过 滤 基 本 参数 。 
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URLE v^ 启用 
v ERI 

阻 断 动作 HEE 

EER 200 


Webdf& m m Sorry, the website is denied. You 
have no privilege to access 
websites. 


应 用 





3) 单 击 “a EH v 
Step 2 配置 黑白 名 单 。 i 





D ”在 “菜单 ”导航 树 中 选择 “UTM > WEB 过 滤 > URL 过 滤器 ”。 
2) ”在 “新 建 URL 过 滤器 ”区 域 中 输入 名 称 和 描述 。 
3) 点击“ 应用”。 
新 建 URL 过 滤器 
URLpalicy1 
URLpolicy1 





4) Hb “URL YEA” JETEDRSHI GS, 


5 ERZA” xb HE 
6) TE “JÆ URL HAY DoupAS ALEX, Hd; ME”. 


"Blacklist! 
blacklist1 





D ”在 URL 地址 列表 区 域 ， 单 击 TP m à 
8) dE XE URL 地 址 ”区 域 框 中 选择 匹配 方式 和 填写 黑 名 单 URL. 


新 建 URL 地 址 


区 本 方式 
内 容 
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9) ” 单 击 “ 确 定 ”。 一 直 回 到 “修改 过 滤器 ”界面 。 
10) 单 击 “URL 白 名 单 ” 后 面 对 应 的 国 . 
11) 在 “ 白 名 单 配置 ”区 域 点 击 下 新建 ， 





12) Œ “E URL 地 址 组 ”区 域 中 输入 组 名 和 描述 ， 单 击 “确定 ”。 


Whitellst1 


whitelist1 





13) 在 URL 地 址 列表 区 域 ， 单 击 TIE, : 
14) 在 “新 建 URL 地 址 ”区 域 框 中 选择 L 配 方式 和 填写 白 名 单 URL. | 
新 建 URL 地 址 

dca 


www infarmation.com 





15) 单 击 “ 确 定 ”。 一 直 回 到 必修 改过 滤器 ”界面 。 
Step 3 配置 URL 分 类 。 
1) 在 “菜单 的 导航 树 中 选择 “UTM > WEB 过 滤 > URL 分 类 ”。 
2) ”在 “URL 分 类 列表 ”区 域 中 点 击 TIE, 
3) Æ "Ar URL 分 类 ”中 输入 名 称 和 摘 述 。 
新 建 WRL 分 类 


a 


TERT 








4) ”在 “已 选 ” 区 域 下 方 点 击 新 建 ， 

s) ”在 “新 建 URL 地 址 组 ”区 域 中 输入 组 名 和 描述 ， 单 击 “ 确 定 ”。 
6) 在 URL 地 址 列表 区 域 ， 单 击 TIE, 

7) ”在 “新 建 URL 地 址 ”中 输入 关键 字 和 内 容 。 
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ESI ht 


MALIT, KBEF 


内 容 www.abcd.com 





8) ub "Wig" 一直 回 到 “URL 分 类 列表 ”界面 。 
Step 4 配置 URL 过 滤器 。 


1)” 在 “菜单 ”导航 树 中 选择 “UTM > WEB 过 滤 > URL 过 滤器 ” 
2) ”在 “新 建 URL 过 滤器 ”区 域 中 输入 名 称 和 描述 。 | 


SErEURL EIE 28 


URLpolicy1 
URLpalicy1 





3) 点 击 “应 用 "- 
4) ”在 “修改 URL TIEA” DXX, WESKI. 


默认 动作 [f = 


v 局 用 URL 日 名单 v 启用 NRL 黑 名 单 


vV 启用 自 定义 分 类 过 滤 9 忆 用 预定 分 类 过 滤 


控制 选项 控制 内 容 
URL 白 名 单 whitelist1 
URLE 2 dé blacidfsti 


5) ”在 “分 类 人 台 称 ”区 域 ， 点 击 分 类 名 称 后 面 对 应 的 S, RAEE. 


中 新 建 Ai Ws | | 请 输入 分 类 名 称 
jin 
abcd 
Web sites related to P2ZP 
Web sites related to kinds af download 





T8 
EH 


e» 


Web sites related to kinds of culture(arts,history, etc.) 
Web sites related to kinds of Sports 
Web sites related to kinds of Social Facus(social issue ecology, human righ... 


Web sites related to military 

Web sites related to SNS 

Web sites related to lottery 

Web sites related to recreation(games,cartoon,chat,dating, etc.) 
Web sites related to religion 

Web sites related to sex but not porn 


HH 4 页 | bp kl 显示 1-12. H 由 条 





ge pe pe pe pe pe ge pe pe ge pe pe 








6) mur NH". 

7) ”重复 2-6 项 ,创建 URL 过 滤器 urlpolicy2, WE P2P 分 类 访问 控制 动作 都 为 阻 断 ; 
创建 URL 过 滤器 urlpolicy3， 配 置 体育 /运动 分 类 访问 控制 动作 为 阻 断 ， 创 建 URL 
过 滤 策 略 urlpolicy4， 所 有 分 类 控制 动作 均 为 允许 。 
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Step 5 配置 DNS 服务 器 


1) ”在 “菜单 ”导航 树 中 选择 “网 络 > DNS”。 
2) 在 “服务 器 列表 ”区 域 中 输入 DNS 地址， 点击“ 添加 ”。 
D EE REDE 


$8 me 轴 别 新 || 208. 118. 
IP 

说 明 : DNS 服务 器 IP 地 址 202.118.66.6 只 是 该 举例 中 的 地 址 ， 实 际 配 置 中 根据 用 户 

具体 DNS 服务 器 地 址 配置 。 
Step 6 配置 安全 服务 中 心 。 

1) 在 “菜单 ”导航 树 中 选择 “系统 > 维护 ” 
2) ”选择 “升级 中 心 ” 页 签 。 
3) ”在 “升级 中 心 ” 区 域 杠 中 配置 安全 服务 中 心 域名 。 





内 鸭 升 级 开启 

安全 服务 中 心 域 名 sechuauENeaa * 

激活 码 JE ELE oEEO FARADHI 
gPaljdodZE3LT7FPXxZOrwun3Y8 4| ^ sux 
,o38goTEcNudze-ugG2euGdBfFnN 
zjiPZWA4knXxaGlhqycQlwkzwWos3dq4 


3SJGKNOÜGEvSCP6gouü0SOIlHeMjsSd 
rrfujasmh Y OONIOS5-3RATUFYNC ™ 


zx mW 





4) 单 击 “应用 m 

Step 7 配置 时 间 段 
D) Æ RKE” FN PA Pk > 时 间 段 ” 
2) & "WEB" Kieta PE, 


3) dE “WEE” KERE p e eE E timel. 
新 建 时 间 段 


名称 





4) Sul "NJ". 
5) “在 “时 间 段 列表 ”区 域 ， 点 击 THE, 
6) ”在 “时 间 段 ”区 域 窗口 完成 参数 配置 。 
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€ 
Aem 
开始 时 间 
结束 时 间 
每 周 生 效 时 间 


RAZ 
星期 一 
宇 期 二 
星期 三 
星期 四 
星期 五 
星期 六 
星期 日 





7) 单 击 “确定 ”。 
8) ”重复 2) 一 7)， 配 置 时 间 段 time2。 
Step 8 配置 地 址 对 象 
D) Æ SRE” GRIPE C"Ww > 地 址 ” 
2) “选择 “地 址 组 ”页 签 ! 
3) ” 单 击 “地 址 组 列表 * 公 域 框 中 的 下 新 建 ， 
4) ”在 “修改 地 址 组 ”区 域 输入 名 称 、 描 述 。 
修改 地 址 组 





5) ”在 “配置 地 址 ”区 域 点 击 宣 新 建 ， 输 入 研发 区 地 址 段 。 


本 新建 3€ mis 
子 网 IP 范 围 


20.20.20.1-20.20.20.100 





6) 单 击 66 应 用 2 
D) “重复 3)~5)， 配 置地 址 对 象 “ 非 研发 区 ”。 


Step 9 在 Trust 与 Untrust 域 间 应 用 URL 过 滤 策 略 
D) ”在 “菜单 ”导航 树 中 选择 “防火 墙 > 转发 策略 ”。 
2) ” 单 击 “ 转 发 策略 ”区 域 框 中 的 "e SE . 
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3) ”在 “新 建 转发 策略 ”区 域 ， 选 择 源 地 址 和 目的 地 址 为 “研发 区 ”地 址 组 。 
4) “在 “新 建 转 肥 策略 ”区 域 ， 选 择 时 间 为 “timel”。 
5) 在 “新 建 转发 策略 ”区 域 ， 选 择 动 作为 “permit”"。 
得 突 全 区 域 trust 

目的 安全 区 域 untrust 

源 地址 iHa E 


[3 


any 
Ter HE sto A FH Past FH PS 


请 选择 服务 


Wer | | 
FM: 


Ei 


time 1 


permit 





X 


i urlpolicyl. 








6) “在 “新 建 转 友 策略 ”区 域 框 中 配置 应 用 URL NIER 
0 IPS 
C AV 

Iv Web 过滤 


Web 过 滤 策 略 urlpolicyt 
[ 邮件 过 滤 
[^ FTP 和 过 小 
[. 应 用 控制 


v WSRETSS 
涉 开启 第 略 会 话 流 里 统计 





7) ”选中 “记录 日 志 ” 前 面 的 复 选 框 。 

8) FÉ éé 应 用 

9 ”重复 2) 一 8)， 配 置 应 用 URL JERK urlpolicy2、urlpolicy3、urlpolicy4。 
结果 检查 


通过 配置 黑白 名 单 、 目 定义 分 类 和 预定 义 分 闫 的 访问 控制 动作 ， 对 员工 的 HTTP 请 求 
进行 URL 过 滤 ， 可 以 实现 对 企业 员工 上 网 行为 的 管理 。 
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RBL 过 滤 配 置 实验 


6.1 配置 预定 义 方式 RBL 1338 
实验 目的 
掌握 RBL 过 滤 配 置 
组 网 设备 
USG2200 一 合 
实验 拓扑 图 


Figure 6-1 RBL 过 滤 实 验 拓扑 图 














Trust G0/01 N, USG G0/0/0 Untrust 
XT r M fuma 70.0.0. 1/24 External Mail 
20.00.2724. k Server d 
pa m A N 30.0.0.2/24 


10.0.0.1/24 


B Internal Mail 
Server g 


10.0.0.2/24 
ACD 


如 图 6-1 所 示 ，USG 部 署 在 企业 网 出 口 处 。 要 求 USG 对 进入 企业 内 部 的 邮件 进行 
过 滤 ， 以 保护 内 部 邮件 服务 器 和 内 网 用 户 。 有 具体 需求 如 下 : 


e USG 通过 预定 义 的 RBL 服务 占 实 现 邮件 过 小 ， 你 护 邮 件 服务 器 和 内 网 用 户 不 受 垃 
圾 邮件 的 侵扰 。 


e 在 任何 情况 下 ， 人 允许 源 地 址 为 30.20.20.20 的 用 户 发 送 邮 件 给 内 网 用 户 。 
e 当 邮 件 命中 RBL 服务 器 的 黑 名单 时 ， 阻 断 该 邮件 。 











Fio gr PEUX 
Step 1 配置 USG 的 接口 信息 (上 略 》 
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Step 2 配置 RBL 地 址 白 名 单 


D 在 “菜单 ”导航 树 中 选择 “UTM > 垃圾 邮件 > 垃圾 邮件 过 滤 ”。 
2) 在 “基本 配置 ”区 域 ， 白 名 单列 表 中 点 击 TIE, 
新 建 白 名 单列 表 


IPH R 30.20.20.20/32 





3) 点 击 “确定 E 
Step 3 启用 RBL 过 滤 ， 配 置 查询 RBL 的 DNS 服务 器 的 IP 地 址 
1) 在 “菜单 ”导航 树 中 选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 滤 ”, 选 择 “ 基 术 配置 ”页 签 


2) 在 “基本 配置 ”区 域 框 中 ， 局 用 垃圾 邮件 过 小 功 能 、 白 名 单 、 黔 名单， 配置 DNS 服务 
iro AAR EU RZE -o X 








垃圾 邮件 过 小 功 能 
ZEE 
Pey 
查 调 垃 专 邮 件 服务 器 的 DNS 地 址 30 AD 10 10 | 全 使 用 过 涯 第 略 时 ， 此 项 必须 配置 





注 : 查询 垃圾 邮件 服 和 分 器 的 DNS 地 址 ， 根 据 实际 的 DNS 去 配置 。DNS 地 址 一 般 由 运营 
商 提 供 。 
3) 单 击 “应 用 入 
Step 4 配置 预定 义 策 略 


入 在 “ 荣 单 ”导航 树 中 选择 “UTM > 邮件 过 滤 > 垃圾 邮件 过 小 ”, 选 择 “ 过 小 策略 ”页 竹 。 


> 在 EAIA” Uum, zm mmsomne" sui. seme XR 
并 配置 策略 的 动作 为 “ 阻 断 ” 具体 配置 如 图 所 示 。 


PIES Ti 
Use the pre-defined RBL server in the system. 
PHEN 


vi 月 用 
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3) 单 击 6 应 用 2 
Step 5 配置 邮件 过 涛 策略 


1) 在 “ 染 单 ”导航 树 中 选择 “UTM > 邮件 过 小 > RE” E ERME” KI, 选择 局 用 
邮件 过 滤 ， 扣 击 “ 应 用 ” 


邮件 过 滤 | 启用 应 用 


2) 在 “邮件 过 滤 策 略 列表 ”区 域 ， 选 择 下 新 建 ， 输 入 名 称 和 描述 ， 点 击 “ 应 用 ” 


RBLIist1 


RBLIist1 





3) 1E AEAF” KER, IRE RHEEN SCA 44 MRE 7S BEET « 


w ERRES piema License} 
A EAR 


H EAA 








4) ARPE ra e Me ELBIEISE USE DA - fee A E MHH o 


控制 方向 zh heH 处 理 动作 Aim 
ERA AFA iei 

收 件 人 地 址 
接 忆 邮件 SEA ei 

Wer A 


TERM BERESHBH SH 阻 断 处 理 对 象 组 


点 邮 件 天 键 字 
收 邮 件 天 键 字 
过 邮件 附件 类 型 
上 收 邮 忻 附 件 类 型 


附件 云 小 为 个 数控 制 





Step 6 在 域 间 应 用 预定 义 策略 
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D 在 “菜单 ”导航 树 中 选择 “防火 墙 > 安全 策略 ” 选择 “转发 策略 ”页 签 。 
2) Hi "PESE, Æ Untrust 到 DMZ 区 域 方向 应 用 预定 义 策略 。 具 体 配 置 如 图 所 示 。 


TM » Eun > cR dus » 


SERERE 


* 


源 安 全 区 域 untrust 

目的 安全 区 域 dmz 

源 地 址 请 选择 或 输 AIP 地 址 

目的 地 址 10.0.0.2/32 
请 选择 或 输入 用 户 或 用 户 组 
请 选择 服务 


K 国 e E R 












































[< 


all 


| S 


k 


permit 


a 
i 


Q E 


[^ IPS 
[^ AV 
[^ Web 过 滤 
M 邮件 过 滤 


AFEA rbllist1 
[^ FTP 过 站 
[^ 应 用 控制 


记录 日 志 
TL =i i dE ERIT 





























3) kf * A Hj » 


Step.7 配置 DMZ 和 Trust 的 Outbound 方 同 的 防火 墙 集 略 ， 人 允许 内 网 用 户 从 邮件 服务 器 下 载 
邮件 


D 在 “菜单 ”导航 树 中 选择 “防火 墙 ”安全 策略 ” 选择 “转发 策略 ”页 签 。 
2) Hi; "P RE, TE Trust 到 DMZ 区 域 方向 配置 防火 墙 策略 。 具 体 配 置 如 图 所 示 。 
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Ls REC BE I > 


* 


[ase ie petat trust 

目的 安全 区 域 dmz 

产地 址 TE EE LA IPIE 

目的 地 址 10.0.0.2/32 

HA A FE SUL A AA AE 
服务 请 选择 服务 

时 间 段 all 

动作 permit 

Ht 


MET 
Ei 


Mer Mer 


* 


v| 
D | 288 
iv] 
iv] 
B 
E 


C IPS 
[^ AV 
[^ WebitJE 
v 邮件 过 滤 


BP EXER rbllist1 
[ FTPHEE 
D 应 用 控制 


IRE 
TER EAE 





3) 单 击 “应 用 


ZG ARAS EY 


e i543 7j 30.20.20.20 的 用 户 可 以 发 邮件 给 内 网 用 户 。 
e 当 发 送 给 内 网 用 户 和 内 部 邮件 服务 器 的 邮件 命中 RBL 服务 器 的 黑 名 单 时 ， 该 邮件 
被 阻 断 。 
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DP! 配置 实验 


7.1 wE DPI 升级 


实验 目的 
掌握 DPI 功能 的 升级 配置 

组 网 设备 | 
USG2200 一 台 

实验 拓扑 图 x 


Figure 7-1 DPI 升级 实验 拓扑 图 


Untrust 


Internet Serve 





Trust G0/01 | USG G0/0/0 






- i f | 
20.0.0.0/24. bs 






DPI 0 0 
| 本 | 加 | 


MEDRAR) 
Step 工 执行 命令 System-view， 进 入 系统 视图 
Step 2 执行 命令 dns resolve， 启 用 动态 DNS 解析 功能 
Step 3 执行 命令 dns server ip-address, jHE DNS 服务 需 
Step 4 执行 命令 dpi, XEA DPI 视图 


Step 5 可 选 : 执行 命令 using default rule-base update server, $4 DPI 升级 服务 器 设 为 
默认 升级 服务 器 。 默认 升级 服务 器 为 sec. huaweisymantec. com 


Step 6 执行 命令 update rule-base server { domain domain-name | port port-number | 
| ip-address ip-address [ port port-number ] }*， 配 置 升 级 服务 器 的 域名 或 者 
IP 地 址 ， 最 多 可 配置 3 个 ， 在 升级 时 将 依次 尝试 


Step 7 可 选 : 执行 命令 update rule-base remote， 立 即 远 程 升 级 DPI 知识 库 
Step 8 执行 命令 update rule-base remote period period-val， 配 置 自动 升级 的 更 新 周期 
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Step 9 可 选 : 执行 命令 update rule-base no-save， 配 置 此 命令 后 ， 设 备 将 不 保存 升级 后 
的 DFI 知识 库 。 


FU BEZUR (Web) 
Step? 依次 点 击 系统 -维护 -升级 中 心 。 〈 略 ) 配置 步骤 详 见 3. 1。 


Isa er> I 
[i Li [i 


jim 
GENID vi 
LIE FE rr DMdEBA XH 


wADEbBSwTpüOvuRd7rXN' Y ZxhNrE 
LDARLTUXsprOMEKZBrzZULOdVOF 


H5Ee4dt5EGRnIRGunSXIIT tC vij 
XI&gQID/X1 CXRrNGnnATdl bmfhrfn 
SF/L5r/o5G24oL«28RKqbytyXC5M | 


r3 ERE 


F3 Anpe 


国 URL 分 类 


应 用 控制 


PRETER 
引 靠 版 本 : 


| 


Eme. 


0.0.0.0 

DFPI-Module ? 
QOOQ/OQ/OQ 00:00:09 
QOOQ/OQV/00 00: 9C UNI 


ERRE 




















执行 命令 display dpi verbose, AA DPI 模块 的 配置 情况 : 
[USG-dpi] display dpi verbose 
DPI Verbose information: 


DPI Engine Version : DPI-Module V 100R001C02SPCO008 
DPI Current Detect Max PktNum — : 20 

DPI Session Current Flow Number : 7 

DPI Update Period : 90 

Save Rule-base After Updated : nO 


DPI Update Server 
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Server 1 : 1.1.1.1 80 


Server 2 : 2.2.2.2 80 


Server 3 : 3.3.3.3 80 





设备 完成 升级 后 , 执行 命令 display dpi brief, 查看 DPI 知识 库 的 当前 版 本 信息 和 升级 日 期 情 


Dlo 
[USG] display dpi brief 
DPI brief information: 


DPI enabled : yes 
Rule-Base's Current Version : 1.0.0.108 X 
Rule-Base's load time : 2010/05/31 11:43:58 


Rule-Base's publish time : 2010/01/30 10:42:54 


7.2 配置 DPI 控制 了 ME 行为 
实验 目的 

掌握 DP1 功 能 应 用 配置 
组 网 设备 

USG2200 一 台 
实验 拓扑 图 





Figure 7-2 DPI 控制 P2P 行为 和 流 媒 体 实验 拓扑 图 
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Trust 
G0/0/1 USG G0/0/0 Untrust 
R&DI I 30.0.0.1/24 
b 20.0.0.0/24 


Internet SAN 






Sales ll 
10.0.0.0/24 





F1/0/0 
10.0.0.1/24 


内 网 研发 部 门人 员 在 工作 时 间 周 一 至 周 五 的 8:00—12: 30, 14: 00-18:00 不 能 使 用 IM 
(Instant Messaging) 功能 。 


内 网 铀 售 部 门人 员 在 所 有 工作 时 间 可 以 正常 使 用 IM 功能 。 


配置 步 又 N 
Step 1 配置 USG 使 内 网 用 户 可 以 访问 因特网 ， 有 基体 步 又 略 。 
Step 2 配置 时 间 范 围 , 设 定 为 周一 全 周 五 的 8:00-12: 30, 14: da 命名 为 work time. 


D ”选择 “防火 墙 》 时 间 段 》 时 间 段 ”。 

2) ”在 “时 间 段 列表 ”中 单 击 定 。 

3) 在 “名 称 ” 中 输入 时 间 段 的 名 称 work time: 

4) — Huh "NH". 

5) AFP, OERE work time 例 六 午 部 分 ， 如 图 1 所 示 。 
6) ” 单 击 “ 确 定 ”。 


图 1 新建 时 间 段 一 
55 uod: ime 


AM 周期 时 间 段 


开始 时 间 08:00 
SaR] 12:30 
H EERTE] n[3k 


n EE pF 
星期 一 
星期 二 
星期 三 
星期 四 
星期 五 
星期 六 
星期 日 





7) — Bid", 创建 时 间 段 work time 的 下 午 部 分 ， 如 图 2 所 示 。 
8) Jah "Wu. 
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图 2 新 建 时 间 段 一 

名 称 | 

类 型 周期 时 间 段 
开 如 时 间 14:00 

结束 时 间 | 18:00 

i FS] AE REP] 


Ra S 





( 


Step 3 启用 应 用 控制 功能 ， 并 配置 应 用 控制 策略 im block, Od MORNULO, J 
对 检测 到 的 IM 协议 执行 阻 断 动作 。 


D ”选择 “UTM > 应 用 控制 》 策 略 ”。 

2) ”选择 “应 用 控制 功能 ”后 的 “启用 ” 复 选 框 。 

3) ” 单 击 “ 应 用 ”。 

4) ”在 应 用 控制 策略 列表 中 ， 单 琳 补 ”创建 应 用 控制 策略 im block. 
5) 单 击 “ 应 用 ”。 

6) ”在 应 用 控制 列表 中 ; Wann, ， 创 建 应 用 控制 ， 如 图 3 所 示 。 

7) 单 击 “确定 ”SS 

8) Hab "WA". 





图 3 新 建 应 用 控制 
Te mir e. M HAEA PF FHEIRE SE 
La p IM 


Fi FH ERR 
控制 动作 





Step 4 配置 转发 策略 ， 在 域 间 应 用 DPI 策略 im block， 实 现 对 20. 0. 0. 0/24 网 段 的 研发 人 
员 在 work time 时 间 段 内 的 JI 即时 通讯 的 阻 断 。 


D ”选择 “防火 墙 》 安 全 策略 》 转 发 策略 ”。 

2) ”选择 “转发 策略 ”页 签 。 

3) ”在 “转发 策略 列表 ”中 ， 单 击 下 ， 参 数 配置 如 图 4 所 示 。 
4) Hh "NH". 


图 4 新 建 转发 策略 
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源 安 全 区 域 trust [v]? 
目的 安生 区 域 untrust [v]: 
源 地 址 20.0.0.0/24 Iv] | d 
目的 地 址 请 选择 或 输入 IP 地 址 [~| | 多 选 
用 户 请 选择 或 输入 用 户 或 用 户 组 [v] | a 
服务 请 选择 服务 Iv] | 25 
时 间 自 all E 
动作 permit [ve] 
描述 | 

bd 
C] IPS N 
[lAV 
[ ] Web 过 滤 
O Etti X 
CI FTP 过滤 
应 用 控制 





记录 日 志 
FERES nET 





Step 5 配置 转发 策略 ， 实 现 对 1070.0. 0/24 网 段 的 销售 人 员 正 常 。 
LES KAREO HERE > 


untrust 


10.0.0.0/24 


O Ps 
O Av 
E webzti& 
E dp 4E xi2R 
El FTP 
O0 应 用 控制 


| 记 巡 阁下 匹配 日 二 
ig URL EFE X 


 |PEREeGTESG 
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Step 6 在 Untrust 区 域 放 置 一 台 PC 机 器 ， 局 动 Sear 的 AppReplay 组 件 模拟 P2P 
AU dft Ug Ts Hs A s o 


1) ”启动 Sear 的 AppReplay 2H ff. 


Link Mode 选择 Route Mode, Route Mode 需要 设置 网 关 。 
并 在 设置 两 个 网 卡 的 IP 地址 和 网 关 。 


Security Evaluation Assurance Library(SEAL) - AppReplay 





Control 
Http Mail Ftp Imap 


Smb  Fuzzing Tasklist Stat 


Network 


[Eine v] [Gent] 


Yv 
E-| 10.1.1.2 








24 





«ragroute Setting 
Enable 
(9) C-55 S->C 





sip frag %size old 
sip frag Wsize new 
sip frag %size 

sip chaff dup 

iip chaff opt 

sip chaff ttl 

sip optlsrr 4 %ip-addr 
zip opt ssrr 4 %ip-addr 




















2) 





Open SaveAs AutoTest 
Configure 


Http Mail Ftp Imap Smb  Fuzzing Tasklist Stat 


Oe | Less [eres | diyi [ Fort hes | Tineowt | 


5 


File Hame Active 
yes 20 yes 
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E 图 片 名 称 修改 日 期 





mi BT TLpcap 2010-05-01 15:59 — Wireshar 
mus PR M dazhihui.pcap 2011-12-30 18:22 — Wireshar 
d EUR -| ES emule pcap 2010-05-0116:44 —Wireshar 
国 PPLIVE TL.pcap 2010-04-30 20:31 — Wireshar 

mS 计算 机 T ppstream ti.pcap 2010-04-30 18:03 — Wireshar 
& Windows7 OS | m qq login.pcap 2011-12-29 10:53 — Wireshar 
cs 本 地 磁盘 (D) Mr. qq logout.pcap 2011-12-29 11:03  Wireshar 
cus 本 地 磋 盘 (E) M tonghuashun ti.pcap 2010-04-30 20:24 ^ Wireshar 


4 








E: 


Gy | &newvo A m 





- Packet File (*.pcap;*.cap) - 











Stop Start Stop Disconnec plo: 
All All hi 


ba 
Control Stream Center 


eplay Http Mail Ftp Imap Smb Fuzzing Ta st Stat 
b d 


skLi 
YN 





Port Rules ^ 
a NN 20 





结果 检查 


配置 完成 后 个 在 主 作 时 间 和 非 工 作 时 间 在 192.168.2.0/24 网 段 的 主机 上 使 用 QQ、 
MSN 等 即时 通讯 工具 ,如 均 可 正常 使 用 , 则 表示 设备 的 配置 对 销售 部 门 的 IM 使 用 无 
EZ NVZ 
-在 工作 时 间 在 192.168.1.0/24 网 段 主机 上 使 用 即时 通讯 工具 ， 如 无 法 使 用 ， 则 表示 
全、 设备 在 工作 时 段 对 研发 部 门 的 IM 使 用 成 功 阻 断 。 
\” 在 非 工 作 时 间 在 192.168.1.0/24 网 段 主机 上 使 用 即时 通讯 工具 ， 如 可 正常 使 用 ， 则 
表示 设备 在 非 工 作 时 段 对 研发 部 门 的 IM 使 用 不 进行 阻 断 。 
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UTM 特性 故障 排除 实验 


8.1 UTM 特性 故障 排除 













实验 目的 
掌握 防火 墙 UTM 特性 常见 故障 排除 l 
组 网 设备 
1 台 UTM(USG2200), —£& USG2130 (模拟 internet HAO); 2.6 PC 模拟 内 网 用 
户 和 web 服务 器 )。 
实验 招 扑 图 
Trust GO/0/1 USG (30/0/0 Untrust 
2. < 30.0.0.1/24 
* User | Internet Serve 


30.0.0.2/2 





20.0.0.2/724. k 


T 


| F1/0/O 
10.0.0.1/24 


Web Server 
10.0.0.2/24 
Z 
UTM 下 作 在 路 由 模式 ， 用 户 网 段 为 20.0.0.0/24, 位 于 trust [X 5i. WEB 服务 器 网 段 
为 10.0.0.0/24., WLT DMZ 区 域 。 外 网 位 于 Untrust 区 域 ， 内 网 用 户 和 服务 器 的 网 关 
APE E HO USG2230 上 ,为 了 保护 内 网 用 户 和 服务 右 不 受 病毒 入 侵 , 在 trust 和 untrust 
以 及 untrust 和 DMZ 域 间 开启 了 AV 功能。 为 了 限制 内 网 用 户 访 问 internet 地 址 ， 在 


trust 和 untrust 域 间 开启 了 url 过 滤 功 能 CURL 地 址 通过 将 USG2230 的 web 登陆 界 
面 来 模拟 , http:/30.0.0.2/。 


故障 排除 流程 
Step 1 故障 现象 描述 


e Trust 区 域 用 户 无 法 访问 DSM 区 域 的 WEB 服务 器 http://10.0.0.2; 
€ Trust 区 域 URL 过 小 不 生效 ， 仍 然 可 以 访问 http:/30.0.0.2。 


Step 2 故障 相关 信息 收集 及 分 析 
根据 基本 故障 现象 的 描述 ， 利 用 各 种 方法 进一步 收集 相关 信息 ， 定 位 故障 。 
1) MRA: 
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2) ”信息 收集 方法 及 命令 : 





3) 言 轧 中 的 关键 证 据 : 





Step 3 八 故 障 排除 流程 
请 根据 已 知 的 故障 现象 和 经 验 进 行 原因 分 析 ， 并 列举 每 一 故障 现象 的 可 能 原因 : 
D WEZ: 
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2) ”原因 列表 : 


3) 排除 过 程 : 


讲师 实验 指导 建议 
Step 1 分 组 建议 
由 于 本 实验 共 需 2 台 USG， 建 议 2 一 3 人 一 组 。 
Step2 组 长 推举 以 及 组 员 分 工 


在 分 组 之 后 ， 需 要 推举 出 一 个 组 长 来 领导 各 组 完成 实验 。 组 长 在 本 组 的 实验 过 程 中 主要 
起 一 个 牵头 的 作用 ， 并 组 织 组 内 的 讨论 。 组 长 的 推举 可 以 采取 学 员 毛 兽 目 存 的 方式 ， 如 采 学 
员 反 应 不 积极 ， 也 可 以 有 意识 的 指定 学 员 中 技术 水 平 较 好 的 来 担任 组 长 ， 以 保证 实验 的 顺利 
进行 。 在 推举 出 组 长 之 后 ， 还 可 以 引导 组 长 对 目 己 的 组 员 也 进行 相应 的 分 工 。 比 如 说 可 以 让 
特定 的 组 员 负 责 得 看 配置 与 display 信息 ; 茶 些 组 员 负 责 实际 操 作 ， 修 改 配置 ; 茶 些 组 员 负 责 
记录 故障 点 和 每 一 步 操作 ， 完 成 实验 报告 。 
Step 3 分 组 讨论 

在 实验 的 开始 阶段 , 讲师 应 该 要 求 各 组 的 组 长 市 领 各 组 的 组 员 先 弄 清 网 络 的 状况 与 要 求 ， 
并 把 各 设备 上 的 配置 都 移 读 一 过 ， 这 样 才 不 会 在 后 面 的 实验 中 大 家 都 卉 得 一 头 筋 水 。 接 下 来 
可 以 让 组 长 组 织 对 故障 现象 ， 故 障 定 位 和 如 何 解 决 问题 进行 组 内 的 讨论 。 同 时 讲师 也 应 该 时 
刻 关 注 各 组 的 讨论 情况 和 实验 进展 ， 并 在 必要 的 时 候 参 与 进来 ， 把 大 家 引导 到 正确 的 思路 上 
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来 。 因 此 ， 在 分 组 讨论 排除 故障 阶段 ， 根 据 具 体 情 况 ， 可 能 会 需要 一 到 两 名 讲师 指导 实验 以 
保证 实验 效果 。 
Step 4 各 组 忆 结 


在 实验 完成 之 后 ， 可 以 请 各 组 的 组 长 分 别 对 本 组 的 实验 情况 作 一 个 经 验 总 结 ， 包 括 故 障 
的 定位 过 程 以 及 如 何 排除 故障 。 讲 师 在 这 个 时 候 可 以 或 励 各 组 的 组 员 积 极 的 对 组 长 的 发 言 进 
行人 补充 ， 讲 师 目 己 也 可 以 针对 学 员 的 总 结 进行 一 些 点 评 和 补 元 。 
Step 5 提问 


在 各 组 完成 总 结 之 后 ， 讲 师 可 以 有 和 针对 性 的 提 一 些 问 题 ， 以 加 深 学 员 的 理解 ， 下 面 列 出 
一 些 问 题 ， 以 供 参 考 : 





参考 问题 : 


1. GRE OVER IPSEC 和 L2TP OVER IPSEC 的 Security ACL 要 如 何 
配置 ， 为 什么 要 这 么 配置 ? 


2. WITA BNIE tunnel 口 的 路 由 ， 缺 省 路 由 为 什么 不 行 ? 


Step 6 讲师 总 结 
在 本 实验 的 最 后 ， 讲 师 还 应 该 对 整个 实验 的 故障 排除 思路 ， 故 障 点 分 析 和 人 解决 方案 做 一 
个 最 终 的 总 结 ， 以 加 深 学 员 对 课程 的 理解 ， 并 使 之 更 系统 化 。 
Step 7 实验 中 的 时 间 点 控制 
本 章节 实验 时 间 建 议 : 
e 2 小 时 : 讲师 准备 好 实验 环境 ， 设 置 好 故障 点 。 
e 10 分钟 : 讲师 介绍 实验 的 网 络 状况 和 具体 要 求 ， 回 学 员 摘 述 故 障 现 象 以 及 实验 要 求 。 分 
组 并 选举 组 长 ， 明 确 各 组 员 正 的 分 工 。 


e 2 小 时 : 各 组 长 组 织 组 员 验 证 故 隐 现象 ， 见 悉 网 络 状况 和 有 具体 配置 。 对 故 隐现 象 ， 故 障 
定位 和 如 何 解 决 问题 进行 组 内 讨论 ， 最 终 排除 故障 并 完成 实验 报告 。 


30 分 钟 ， 各 小 组 选举 代表 对 故障 排除 结 末 及 过 程 进行 分 圣 友 表 ， 讲 师 进 行 总 结 和 点 评 。 
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通过 任 一 项 华为 职业 认证 ， 您 即 可 在 华为 在 线 学 习 网 站 (hf1W;/Aeq9rning.huawei.com/cn) 享有 如 下 特权 : 
e 1、 华为 E-learning 课程 学 习 
s A8: 所 有 华为 职业 认证 E-Learning 课 程 ， 扩 展 您 在 其 他 技术 领域 的 技术 知识 
0 方式: ŽUPA, ARBA “ERKE” MERKS “emai” $| Learning €hvawer com A 
JAKAR 
。 2、 华为 培训 教材 下 载 
o AR: 华为 职业 认证 培训 教材 + 华为 产品 技术 培训 教材 小 盖 企 业 网 络 、 存 储 、 安 全 等 诸多 领域 
0 方式: EGRÍÉZUHEZETSDIBIA, MEA “ERRIMAREN ， 在 具体 课程 页 面 即 可 下 载 教 材 。 
。 3、 华为 在 线 公 开课 (LVC) 优 先 参与 
o AR: 企业 网 络 、UC&C、 安 人 全、 存储 等 诸多 领域 的 职业 认证 课程 ， 华 为 讲师 授课 ， 开 班 人 数 有 限 
0 方式: 开 班 计 划 及 参与 方式 请 详 见 AKC 汞 和 区 
。 4、 学习 工 具 eNSP 
o  eNSP (Enterprise Network Simulation Platform), 是 由 华为 提供 的 免费 的 、 可 扩展 的 、 图 形 化 网 络 仿 
真 工具 。 主 要 对 企业 网 路 由 器 和 交换 机 进行 硬件 模拟 ， 完 美 呈现 真实 设备 实景 ; 同时 也 文 持 大 型 网 络 
模拟 ， 让 大 家 在 没有 真实 设备 的 情况 下 也 能 够 进行 实验 测试 。 
。 另外, 华为 建立 了 知识 分 孚 平台 华为 从 证 论坛 。 您 可 以 在 线 与 华为 技术 专家 交流 技术 ， 与 其 他 考生 分 对 考试 
经 验 ， 一 起 学 习 华 为 产品 技术 。_( http://support.huawei.com/ecommunity/bbs/list 2247.html ) 
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